StefanWe 14 Geschrieben 27. Oktober 2019 Melden Teilen Geschrieben 27. Oktober 2019 Hallo, jeder kennt es. Fileserver Berechtigungen sind ein Graus. Wir versuchen aktuell höchstens zwei Ebenen in die Tiefe zu berechtigen. Beispiel Abteilung X - Alle - intern 1 - intern 2 Wie würdet ihr nun die Berechtigung vergeben um so wenig wie möglich AD Gruppen zu benötigen? Jeweils für intern 1 und 2 eine eigene AD Gruppe machen, diese auf den oberen Ordnern nur mit Leserecht This Folder, oder normal Read setzen und bei intern 1 und 2 die Vererbung aufheben, und die Gruppe des anderen Ordnern entferne und die eigene Gruppe auf Modify setzen? gibt es mittlerweile schönere Möglichkeiten, wen weg zu, eigenen Ordner dem Anwender zu berechtigen? Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 27. Oktober 2019 Melden Teilen Geschrieben 27. Oktober 2019 Moin, das kann man nicht beantworten, ohne die Anforderungen im Detail zu kennen. Ich würde, wenn ich sowas aufbaue, nur nach dem AGDLP-Prinzip arbeiten, aber auch damit kann einiges sehr umständlich werden. [Windows-Gruppen richtig nutzen | faq-o-matic.net]https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ Gruß, Nils Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 27. Oktober 2019 Autor Melden Teilen Geschrieben 27. Oktober 2019 vor einer Stunde schrieb NilsK: Moin, das kann man nicht beantworten, ohne die Anforderungen im Detail zu kennen. Ich würde, wenn ich sowas aufbaue, nur nach dem AGDLP-Prinzip arbeiten, aber auch damit kann einiges sehr umständlich werden. [Windows-Gruppen richtig nutzen | faq-o-matic.net]https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ Gruß, Nils Das agdlp beherzigen wir. Hilft uns aber leider nicht, den Weg zum Zielordner frei zu machen. Wir würden für intern 1 und 2 jeweils eine DOM Lokal Gruppe anlegen. Aber die Frage, wie gibt man den Weg für den Anwender am einfachsten frei. Der Einstiegspunkt soll Abteilung X sein und natürlich soll der Anwender nur das sehen, worauf er auch berechtigt ist. Daher ist die ABE aktiviert. Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 27. Oktober 2019 Melden Teilen Geschrieben 27. Oktober 2019 Moin, wenn in "Abteilung X" alle alles lesen dürfen, ist es ja einfach. Dann gibt es eine DL-Gruppe "Abteilung X_R", die das Lesen erlaubt. Die Unterordner erben nicht und bekommen eigene DL-Gruppen. Nicht schön wegen der unterbrochenen Vererbung, aber geht oft kaum anders. Hauptsache, man muss nicht verweigern. Ansonsten legt man aber nicht eine DL-Gruppe pro Ordner an, sondern pro Zugriffsrecht. Wenn keine verschiedenen Rechte auf denselben Ordner gegeben werden, passt eine Gruppe, aber das ist selten der Fall. Am Ende sind das alles keine technischen Fragen, sondern organisatorische. Gruß, Nils Zitieren Link zu diesem Kommentar
Squire 273 Geschrieben 31. Oktober 2019 Melden Teilen Geschrieben 31. Oktober 2019 wir haben es aufgedröselt ... es gibt einmal Apteilungsverzeichnisse (Zufriff nur die jeweiligen Abteilungen), dann gibt es Arbeitsgruppenverzeichnisse (übergreifend), Prozessverzeichnisse (übergreifend), Projektverzeichnisse (übergreifend) da kommen zwar einiges an Gruppen zusammen, aber es ist einigermaßen sauber administrierbar. Berechtigungen werden bei uns in keinem Fall aufgebrochen. Nada, Njet, Nein - gibt es nicht Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 31. Oktober 2019 Autor Melden Teilen Geschrieben 31. Oktober 2019 vor 5 Stunden schrieb Squire: wir haben es aufgedröselt ... es gibt einmal Apteilungsverzeichnisse (Zufriff nur die jeweiligen Abteilungen), dann gibt es Arbeitsgruppenverzeichnisse (übergreifend), Prozessverzeichnisse (übergreifend), Projektverzeichnisse (übergreifend) da kommen zwar einiges an Gruppen zusammen, aber es ist einigermaßen sauber administrierbar. Berechtigungen werden bei uns in keinem Fall aufgebrochen. Nada, Njet, Nein - gibt es nicht Wie geht ihr damit um wenn es innerhalb der Abteilung Teams gibt und diese nicht untereinander Daten sehen sollen ? Zitieren Link zu diesem Kommentar
daabm 1.376 Geschrieben 31. Oktober 2019 Melden Teilen Geschrieben 31. Oktober 2019 (bearbeitet) Abteilung ist Abteilung. Wenn da intern kein Vertrauen da ist, hast Du ein organisatorisches Problem, kein Rechteproblem. Edit sagt: Zu oft wird versucht, organisatorische Mängel durch technische Maßnahmen zu lösen. Das funktioniert nie. bearbeitet 31. Oktober 2019 von daabm Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 31. Oktober 2019 Melden Teilen Geschrieben 31. Oktober 2019 Moin, korrekt. Und als "Sofortmaßnahme" (die IT ist ja selten die Einheit, die organisatorische Probleme per Organisation lösen kann)* ist eine gemeinsame Ordnerstruktur für derartig getrennte Einheiten dann offenkundig unpassend. In dem Fall braucht man richtig getrennte Ablagen. Gruß, Nils * ... wiewohl die IT durchaus als Impulsgeber und Unterstützer an so einem Prozess beteiligt sein kann - aber das führt an dieser Stelle evtl. zu weit. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.